Durant els darrers anys han augmentat notablement els riscs informàtics per als organismes públics, les empreses i els usuaris particulars; per això s’espera que l’any 2022 no en sigui una excepció.
El sector sanitari és un entorn altament complex en termes de processos, la qual cosa, sumada al fet que té una activitat constant durant tot l’any, provoca que aquest tipus de risc estigui molt present. A més, cal tenir en compte que la gran majoria dels equips i mitjans de diagnòstic moderns dels centres assistencials contenen molts de components informatitzats, connectats a la xarxa cada vegada més. A aquesta gran complexitat organitzativa i a la gran quantitat de sistemes dispersos interconnectats s’hi afegeix l’incentiu per gran per als ciberdelinqüents: la informació clínica dels pacients.
A continuació descrivim alguns dels riscs per als usuaris particulars i les organitzacions del sector sanitari als quals l’Oficina de Seguretat considera que cal prestar especial atenció durant l’any 2022 a fi de protegir-se’n.
- Digitalització del sector sanitari i adopció de la telemedicina. Tot i que els programes de telemedicina van resultar molt útils durant la pitjor etapa de la pandèmia de COVID-19, cal valorar tots els casos assistencials de manera individual i evitar les valoracions sobre tots els casos telemàticament sense garantir que el canal de comunicació sigui segur i confiable. Dades com ara un historial mèdic es poden vendre a la DarkWeb per quantitats que van des de poc més d’un euro fins a grans quanties, i es poden utilitzar per a finalitats malicioses, com ara l’extorsió, estafes, etc.
- Ús inadequat de dades recopilades per connectats (wearable). Aquests dispositius són complements que monitoren les constants mèdiques d’un pacient durant les 24 hores del dia recopilant-ne una gran quantitat de dades personals sensibles, que queden en mans d’empreses privades: la ubicació del pacient en cada moment, el registre de les constants vitals (freqüència cardíaca, saturació de l’oxigen en la sang, etc.), dades d’activitat (compte de passos o quilòmetres…), entre d’altres. Potser aquestes dades per si mateixes no serveixin gaire, però si es disposa d’una gran base de dades amb molts usuaris amb rutines diferents es poden crear perfils de persones que poden aportar gran quantitat d’informació per utilitzar-la amb finalitats il·lícites, com ara campanyes de publicitat o enviament de correu brossa segons el perfil de cada usuari.
- Segrest de dispositius mèdics (medjacking). Consisteix en el hacking (compromís) de sistemes de raigs X, escàners de tomografia computada, refrigeradors mèdics, desfibril·ladors, etc. Això pot provocar grans problemes en l’ús d’aquestes eines de diagnòstic, fins i tot pot impossibilitar que funcionin correctament.
- Resultats imprecisos de la intel·ligència artificial. S’estan millorant els mètodes tradicionals per reconstruir imatges de proves (ressonàncies magnètiques, radiografies o tomografies computarizadas) afegint-hi capacitats d’intel·ligència artificial, la qual cosa és positiva perquè optimitza la qualitat i la velocitat de l’anàlisi. No obstant això, atès que la tecnologia presenta certes limitacions, petites desviacions en la captura de resultats poden produir un gran canvi en els resultats si el motor de raonament no ha estat ben entrenat amb una gran varietat de casos. Per això els professionals del Servei de Salut han de ser conscients de les limitacions de cada eina i tractar tota informació amb certa prudència.
- Error humà. Tot i que els atacs maliciosos són els més freqüents, de vegades els incidents poden ser el resultat de la negligència o la falta d’informació dels usuaris. Per això se’ls considera la baula més feble de la cadena. Tal va ser el cas, l’abril de 2018, d’un empleat d’una empresa d’assegurances mèdiques nord-americana que va publicar accidentalment un fitxer que contenia la informació mèdica i personal de pacients. La companyia va tardar dos mesos a detectar aquest error humà.
- Pesca (phishing). S’ha registrat un gran augment d’atacs d’aquest tipus, una gran part dels quals relacionats amb la pandèmia. Palo Alto Networks ha xifrat l’augment d’aquest tipus d’amenaça dirigida a farmàcies i hospitals en aproximadament un 190 % en el darrer any. Cal subratllar que els atacs de suplantació d’identitat relacionats amb la vaccinació van augmentar més d’un 500 %.
- Segrestador (ransomware). Els atacants han descobert que les organitzacions mèdiques que ofereixen tractaments vitals als seus pacients poden ser extorquides més fàcilment que les empreses de qualsevol altre sector. Segons dades de Tenable, entre el gener de 2020 i el febrer de 2021, els atacs de programari de segrest han estat la causa principal del 55 % de les violacions de la informació en el sector de la salut.
- Talls en les comunicacions per cable o sense fils. Aquest tipus d’incident pot provocar la impossibilitat d’accedir a recursos (dades de la història clínica dels pacients, resultats de proves diagnòstiques, monitoratge dels sistemes d’emmagatzematge de medicaments…). Per això les fallades en les comunicacions poden interrompre el flux de treball, la qual cosa retarda l’atenció dels pacients i fins i tot els causa lesions greus o la defunció pel fet de no rebre alertes crítiques. Aquests riscs es poden minimitzar monitorant les xarxes contínuament i mantenint activament els sistemes de comunicacions.
Tots els riscs descrits ens recorden la importància d’educar els usuaris de qualsevol organització
—especialment els professionals de la salut— sobre les bones pràctiques en matèria de ciberseguretat. Per això el Servei de Seguretat de la Informació ha desenvolupat un pla de conscienciació de manera específica per a aquesta finalitat, que actualitza periòdicament: en el Codi de bones pràctiques es detallen les bones pràctiques en matèria de ciberseguretat que els treballadors del Servei de Salut de les Illes Balears han de complir i en la política de seguretat es recullen les accions que el Servei de Salut du a terme per pal·liar els ciberatacs que pateix i per valorar -ne els possibles efectes.
Per aprofundir en aquesta matèria us recomanam que consulteu aquests altres butlletins de seguretat:
- Butlletí núm. 91: «Dispositius mèdics intel·ligents».
- Butlletí núm. 87: «Consells de seguretat per a l’estiu».
- Butlletí núm. 84: «Augment de casos de pesca en el sector sanitari».
- Butlletí núm. 83: «Riscos i amenaces en productes no actualitzats i fora de suport».
- Butlletí núm. 78: «Propostes d’antivirus gratuïts per a ordinadors personals».
- Butlletí núm. 72: «Bones pràctiques en l’ús del correu electrònic».
- Butlletí núm. 53:«Campanyes de programari maliciós i enginyeria social».
Finalment, us recordam que la seguretat de la informació és cosa de tothom i que comença per cadascun de nosaltres. Moltes gràcies per col·laborar.